Bankery se v Česku začaly výrazně šířit za covidu, kdy se většina nákupů přesunula na internet a zboží se k lidem dostávalo hlavně pouze prostřednictvím doručovaných zásilek. Situace se ale bohužel nezklidnila ani s odezněním vládních restrikcí a návratem k běžnému stylu života.
„V Česku jsme v loňském roce blokovali 2 600 útoků tohoto typu, v globálním měřítku jsme pak zachytili celkem 855 tisíc útoků. Modus operandi je většinou klasický SMS phishing s určitou výzvou a přiloženým odkazem,“ vysvětluje pro Hrot24 Jakub Vávra, analytik hrozeb Avastu s tím, že odkaz vede buď na podvodné stránky s formuláři pro vyplnění, nebo vybízí ke stažení aplikace.
„Poslední dobou si ale všímáme i falešných notifikací, kdy nějaká webová stránka zobrazí notifikaci o nutnosti stažení nové verze prohlížeče Chrome. Místo toho si však uživatel do zařízení stahuje jen banker s ikonkou Chrome,“ říká Vávra.
Mobilní malware všeobecně a bankery v tomto ohledu nejsou výjimkou, nemůže ale po stažení a instalaci začít aktivně sám škodit; k tomu potřebuje pomoc uživatelů, kteří jej musí spustit a aplikaci udělit oprávnění k přístupu do telefonu. Jakmile to udělají, nemají už svá zařízení pod kontrolou.
„Banker dokáže sledovat dění na displeji a číst to, co uživatel píše na virtuální klávesnici. To znamená, že může velmi jednoduše zachytit přístupové údaje do bankovnictví a odeslat je útočníkům. Dokonce následně dokáže sám potvrdit i odchozí platbu při verifikaci v klíči mobilního bankovnictví,“ pokračuje a dodává, že stejným způsobem může aplikace zabránit svému vlastnímu odinstalování. „Při dotazu, zda chce uživatel aplikaci odinstalovat, samy kliknou na Ne a okno se zavře.“
Podle Jakuba Vávry může být ochranou před škodami proti některým bankerům autentizace pomocí otisku prstu, což je stále v současné době nejbezpečnější způsob přihlašování. Otisk prstu malware nepřečte a rozhodně jej (zatím) není schopen kopírovat, a to ani s pomocí AI. Přesto však existují bankery, které tento způsob přihlašování dokážou obejít.
Stejně, jako v případech potvrzování transakcí či zabránění odinstalace, dokážou samy v nastavení zrušit přihlašování otiskem prstu. Uživatel je najednou nucen k mnoha aktivitám použít záložní pin a v bankovnictví psát heslo ručně. To už banker samozřejmě číst umí a následný scénář je totožný. „Nejlepší ochranou (nejen) proti bankerům je však obezřetnost. Tyto podvodné SMS či notifikace, které se stále ve velkém množství šíří Českou republikou, je třeba důsledně ignorovat a případně ihned mazat. Rozhodně na žádný přiložený odkaz neklikejte a nestahujte si do zařízení nabízené aplikace,“ radí expert z Avastu.
Láká vás „oficiální“ aplikace na nevídané funkce? Zbystřete
Avšak nebezpečných typů aplikací je v online prostoru mnohem více. Uživatelé by tedy měli být obezřetní a hlídat si, co a hlavně odkud stahují. Velkou skupinou škodlivého softwaru do telefonů či tabletů jsou totiž i modifikované aplikace, které se povětšinou nacházejí mimo Google Play na alternativních marketech. Jakub Vávra upozorňuje, že v současnosti jde napříkad o aplikace WhatsAppu či Telegramu.
„Odborně se jim říká spyware modifikace a jejich podstatou je, že útočníci upraví oficiální aplikaci, k níž většinou přidají nějaké zajímavé, velmi lákavé funkce a zároveň k ní spolu s tím přilepí i kód, který je škodlivý. Dost často pak tuto upravenou aplikaci a její unikátní vlastnosti inzerují na sociálních sítích s výzvou ke stažení.“
Spyware modifikace jsou rizikové zejména proto, že se snaží získat přístupy (a většinou je od uživatelů dostanou) k různým účtům v zařízení, typicky hledají loginy k sociálním sítím či WhatsAppu. Útočníci pak mohou účty sledovat a sbírat z nich data, s jejichž pomocí mohou profily i zcela ukrást. Některé typy spyware modifikacíí se dokonce snaží získat přístup do kryptopeněženek a ukrást uložené tokeny. A také platí, že je poměrně složité jejich nekalou aktivitu odhalit, protože k ním může dojít až o několik dnů i týdnů od instalace později a lidé si po časové prodlevě už souvislost neuvědomí.
Třetím typem velmi škodlivých aplikací je takzvaný stalkerware, jehož rizikovost však stojí na úplně jiných základech. Uživatel není ohrožený ztrátou dat, peněz či přístupů na sociální sítě, nýbrž ztrátou soukromí. Problém je pak o to složitější, že se svého soukromí nevzdal sám a dobrovolně. Naopak, bylo mu ukradeno, a to většinou někým blízkým.
Stalkerware jsou sledovací aplikace, které byly původně určené k rodičovské kontrole pro ochranu dětí. I proto jsou mnohé z nich stále k dispozici i v Google Play. Tyto aplikace se ale začaly postupně zneužívat k nekalému sledování a mimo oficiální zdroj jsou již k dostání vyloženě sofistikované nástroje pro stalking. V každém případě to není majitel zařízení, kdo aplikaci do svého telefonu instaluje a kdo jí udělí veškerá práva. Je to vždy někdo další, a tento „někdo“ má pak kompletní přehled o tom, co jeho oběť s telefonem dělá.
Aplikace může číst veškerou textovou komunikaci, nahrávat okolí telefonu, sleduje polohu zařízení i dění na obrazovce a informace odesílá do „spárovaného“ zařízení, aniž by to sledovaný vůbec tušil. Některé tyto aplikace se samozřejmě dokážou dobře schovat, nemají žádnou ikonu a tváří se například jako systémová funkce. A alarmující je, že v Česku je tento typ sledování velmi rozšířený.
„V posledních letech vidíme nárůst užívání v Česku o zhruba 600 procent. Začalo to s covidem, lidé byli více doma a měli tak snadnější přístup k ostatním zařízením v rodině. Stalkovací aplikace jsou často spojeny s domácím násilím, proto když je v telefonu detekujeme, dáváme uživateli trochu jiné informace,“ říká Jakub Vávra s tím, že oběť se musí na odinstalaci připravit. „Ten, kdo jí do telefonu aplikaci instaloval, samozřejmě okamžitě zjistí, že byl odhalen. Proto je třeba krok odinstalace udělat s rozmyslem, tak, aby se oběť nevystavila dalšímu nebezpečí,“ říká na závěr analytik Avastu.